Kezdőlap > Windows Server > GPO tervezés

GPO tervezés


Úgy látszik, idén előjönnek a házirendes hibák. A múltkor írtam egy AD-replikációs hibáról, most egy másik helyen volt szükség a házirendek rendbetételére – pontosabban tervezési hiba kiküszöbölésére.

A kollégák a GPMC-ben található Modelling segítségével keresték a problémát adott házirend érvényesítésének hiányára. A modellezés azt mutatta ki, hogy nem lép életbe, „Inaccessible” indokkal, sőt, a házirend neve helyett is csak az azonosítója (GUID) jelent meg. Amire nem figyeltek, hogy a gépen a gpresult viszont simán mutatta a házirend érvényesülését (a benne levő beállítások hiánya viszont egy rosszul megírt script volt, mint utólag kiderítettük).

Röviden egy kis összefoglaló a házirendekről, mielőtt túlzottan belemélyednénk. Minden GPO-nak két összetevője van: GPC és GPT. A GPT helye a \\Tartomány\Sysvol\Policies, míg a GPC-t az AD tárolja, akár ADUC-al szerkeszthető (természetesen Advanced View bekapcsolása után) a System\Policies ágon. Amennyiben valamelyik összetevő nem elérhető (általában jogosultság hiánya miatt), máris megkaphatjuk az előbbi hibaüzenetet.

Első körben tehát ezt a két helyet ellenőriztem, s itt (pl. GPT.ini) az NTFS jogosultsági fülön már látszott is a probléma. A megértéshez viszont a kollégáknak a házirenden mutattam meg, a Delegation fül Advanced opciójával: a gond ott volt, hogy az adott házirendet nem akarták érvényesíteni a szerverekre, minden más gépre igen. Tekintettel a már létező OU-kialakításra, amit nem akartak módosítani, úgy próbálták megoldani, hogy az adott házirendhez felvették a szervereket tartalmazó csoportot, de nem csak az Apply-ra adtak Deny jogot, hanem a Read-re is. Így a szerverek (beleértve a DC-ket is) nem tudták még olvasni sem a házirendet, nem, hogy a modellezésbe belevegyék. Amint engedélyeztük a hozzáférést, máris előrébb voltunk – bár, mint jeleztem, a teljes megoldás a script helyretétele után született meg 🙂

Reklámok
Kategóriák:Windows Server Címke: ,
  1. Még nincs hozzászólás.
  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: